Aurora wypłaciła 2 miliony dolarów dwóm hakerom, którzy zidentyfikowali krytyczne luki.
Rozwiązanie skalowania i mostkowania EVM rozwiązało problemy i żadne środki użytkowników nie zostały utracone. Dwa nagrody w wysokości 1 miliona dolarów zostały nagrodzone w natywnym tokenie AURORA i będą wypłacane liniowo w ciągu 1 roku. Wypłaty zostały ułatwione za pośrednictwem platformy bug bounty ImmuneFi.
Raport o luce został ogłoszony dzisiaj i został odkryty 10 czerwca przez firma ochroniarska Halborn.
Aurora to kompatybilny z EVM most i rozwiązanie skalowania warstwy 2 między protokołem warstwy 1 NEAR i Ethereum. Pierwsza luka była związana z tym, że Aurora miała inny ERC-20 (standard tokenów zamiennych), zwany NEP-141.
Mostek między tymi dwoma łańcuchami jest pozbawiony uprawnień, co oznacza, że każdy może przejść przez dowolny token na dowolny adres bez swojej zgody.
Atakujący mógł stworzyć bezwartościowy token NEP-141 na NEAR, połączyć go z Aurora, a następnie wysłać go do niczego niepodejrzewających ofiar na Aurorze. Umożliwiłoby to atakującym „pobranie ETH z adresów Aurora zasadniczo za darmo”, napisała Aurora w swój raport. Dzieje się tak dlatego, że w moście istnieje możliwość pobrania opłaty denominowanej w ETH od odbiorcy lub ofiary.
Druga luka dotyczyła funkcji nagrywania w moście Aurory. Kiedy środki pomostowe użytkownika z jednego łańcucha do drugiego, tokeny są spalane na jednym łańcuchu i obciążane na drugim.
Atakujący mógł stworzyć na Aurorze „fałszywe oparzenie” bez tego zdarzenia. To fałszywe zdarzenie może następnie zostać wykorzystane do wypłaty środków z „szafki na Ethereum”, która jest przechowywaną ilością ETH na moście Aurora, używaną do łączenia się między łańcuchami.
© 2022 The Block Crypto, Inc. Wszelkie prawa zastrzeżone. Ten artykuł służy wyłącznie celom informacyjnym. Nie jest oferowany ani przeznaczony do wykorzystania jako porady prawne, podatkowe, inwestycyjne, finansowe lub inne.
o autorze
Mike jest reporterem zajmującym się ekosystemami blockchain, specjalizującym się w dowodach z wiedzą zerową, prywatności i samodzielnej identyfikacji cyfrowej. Przed dołączeniem do The Block Mike pracował z Circle, Blocknative i różnymi protokołami DeFi nad rozwojem i strategią.
Źródło: https://www.theblock.co/post/173863/ethereum-scaling-and-bridge-solution-aurora-pays-out-2-million-in-bug-bounties?utm_source=rss&utm_medium=rss